Npm (소프트웨어)

3. 사용법 (Usage)

npm은 특정 프로젝트의 지역 종속성 뿐만 아니라 전역으로 설치된 JavaScript 도구도 관리할 수 있다.^[9] 지역 프로젝트의 종속성 관리자로 사용될 때, npm은 `package.json` 파일을 통해 한 번의 명령으로 프로젝트의 모든 종속성을 설치할 수 있다.^[10] `package.json` 파일에서 각 종속성은 버전의 유효 범위를 시맨틱 버전 관리 체계를 사용하여 지정할 수 있으며, 이를 통해 개발자는 원치 않는 변경 사항을 방지하면서 패키지를 자동 업데이트할 수 있다.^[11] npm은 또한 개발자가 특정 버전으로 패키지에 태그를 지정할 수 있도록 버전 증가 도구를 제공한다.^[12] npm은 또한 `package-lock.json` 파일을 제공하며,^[13] 이 파일에는 `package.json`에서 시맨틱 버전 관리를 평가한 후 프로젝트에서 사용된 정확한 버전의 항목이 포함되어 있다.

4. 클라이언트 (Client)

npm의 명령줄 인터페이스 클라이언트를 통해 사용자는 레지스트리에 있는 JavaScript 모듈을 사용하고 배포할 수 있다.^[14]

2018년 2월, 리눅스 시스템에서 `sudo npm`을 실행하면 시스템 파일의 소유권이 변경되어 운영 체제가 영구적으로 손상되는 문제(5.7.0 버전)가 발견되었다.^[15]

npm 버전 6에서는 개발자가 설치된 패키지의 보안 취약점을 식별하고 수정하는 데 도움이 되는 감사 기능이 도입되었다.^[16] 보안 취약점의 출처는 Node Security Platform (NSP)에서 발견된 보고서에서 가져왔으며, npm이 NSP를 인수한 이후 npm에 통합되었다.^[17]

5. 레지스트리 (Registry)

레지스트리의 패키지는 ECMAScript 또는 CommonJS 형식이며, JSON 형식의 메타데이터 파일을 포함하고 있다.^[18]

310만 개 이상의 패키지가 메인 npm 레지스트리에서 사용 가능하다.^[19]

레지스트리는 제출에 대한 심사 과정을 거치지 않으므로, 레지스트리에서 발견된 패키지는 품질이 낮거나, 안전하지 않거나, 악성일 수 있다.^[18] 대신 npm은 사용자의 신고에 의존하여 품질이 낮거나, 안전하지 않거나, 악성인 패키지가 정책을 위반하는 경우 해당 패키지를 삭제한다.^[20] npm은 개발자가 패키지의 품질을 판단하는 데 도움이 되도록 다운로드 수 및 종속 패키지 수를 포함한 통계를 제공한다.^[21]

내부적으로 npm은 공개적으로 사용 가능한 데이터를 관리하기 위해 NoSQL Couch DB를 사용한다.^[22]

6. 보안 및 주요 사건 (Security and disruption)

npm은 방대한 패키지 생태계를 가지고 있지만, 이로 인해 보안 문제와 중단 사태가 발생하기도 했다.

• 2018년 11월, 인기 패키지 `event-stream` 버전 3.3.6의 종속성으로 `flatmap-stream`이라는 악성 패키지가 추가된 사실이 발견되었다.^[32] 이 악성 패키지는 암호화된 페이로드를 포함하고 있었고, 특정 애플리케이션에서 비트코인을 탈취했다.^[33]
• 2021년 5월, 주당 3백만 건 이상 다운로드된 npm 패키지 `pac-resolver`에서 임의 코드 실행 취약점이 발견되었다.^[34] 이 취약점은 패키지가 구성 파일을 처리하는 방식에서 발생했으며, 버전 5 이상에서 수정되었다.^[35]
• 2022년 1월, 인기 패키지 `colors`의 관리자는 무한 루프에서 쓰레기 텍스트를 출력하는 변경 사항을 푸시했다.^[25] 관리자는 또한 다른 인기 패키지 `faker`의 저장소와 npm의 패키지를 삭제하고, "애런 스워츠에게 무슨 일이 일어났나?"라는 내용을 담은 README로 대체했다.^[36]
• 2023년 5월, `bignum`을 포함한 여러 npm 패키지가 악용되어 피해를 입은 기기에서 사용자 자격 증명 및 정보를 탈취한 사실이 발견되었다. 연구자들은 이러한 패키지가 아마존 S3 버킷과 `node-gyp` 명령줄 도구를 사용하는 익스플로잇을 통해 손상되었음을 발견했다.^[37]

6. 1. left-pad 사건

6. 2. peacenotwar

6. 3. 기타 주요 사건

7. 대안 (Alternatives)

npm을 대체하는 오픈 소스 대안으로 `ied`, `pnpm`, `npmd`, Yarn 등이 있으며, 이 중 Yarn은 2016년 10월 페이스북이 공개했다.^[45] 이들은 모두 공용 npm 레지스트리와 호환되며 기본적으로 이를 사용하지만, 각기 다른 클라이언트 사이드 경험을 제공한다. 이러한 대안들은 npm 클라이언트에 비해 성능 및 결정론을 개선하는 데 초점을 둔다.^[46]

npm의 오픈 소스 대안에는 pnpm, Yarn^[38], Bun, Deno가 있다. Deno와 Bun은 자바스크립트 런타임도 제공하는 반면, Deno만이 NPM 레지스트리 또는 모든 중앙 집중식 저장소와 독립적으로 작동한다.^[39] 2024년 1월 현재 NPM 레지스트리에 대한 Deno의 지원은 여전히 진행 중이다.^[40] 이들은 모두 공개 npm 레지스트리와 호환되며 기본적으로 이를 사용하지만, 일반적으로 npm 클라이언트와 비교하여 성능 및 결정성을 개선하는 데 중점을 둔 다양한 클라이언트 측 경험을 제공한다.^[41]

참조

_[1] 웹사이트 Microsoft-owned GitHub to acquire JavaScript package manager Npm https://www.geekwire[...] 2020-03-17
_[2] 웹사이트 Earliest releases of npm https://github.com/n[...] 2019-01-05
_[3] 웹사이트 A Beginner's Guide to npm – the Node Package Manager https://www.sitepoin[...] 2016-03-30
_[4] 웹사이트 npm https://www.npmjs.co[...] 2024-05-15
_[5] 웹사이트 Forget CommonJS. It's dead. **We are server side JavaScript.** https://github.com/j[...] 2013-03-25
_[6] 웹사이트 NPM/Cli https://github.com/n[...]
_[7] 웹사이트 Bryan Bogensberger, CEO of JavaScript Package Startup NPM, Resigns https://www.business[...] 2021-06-30
_[8] 웹사이트 NPM Co-Founder and Chief Data Officer Laurie Voss Resigns https://www.business[...] 2021-06-30
_[9] 웹사이트 How To Use npm to Manage Node.js Packages on a Linux Server https://www.digitalo[...] 2016-10-22
_[10] 웹사이트 npm-install https://docs.npmjs.c[...] 2016-10-22
_[11] 웹사이트 semver https://web.archive.[...] 2016-10-22
_[12] 웹사이트 npm-version https://docs.npmjs.c[...] 2016-10-29
_[13] 웹사이트 What is the need of package-lock.json in Node? https://www.codeproj[...] 2017-08-21
_[14] 웹사이트 Ampersand.js – Learn https://ampersandjs.[...] 2016-07-22
_[15] 웹사이트 Critical Linux filesystem permissions are being changed by latest version https://github.com/n[...] 2018-02-25
_[16] 웹사이트 'npm audit': identify and fix insecure dependencies https://blog.npmjs.o[...] 2018-08-14
_[17] 웹사이트 The Node Security Platform service is shutting down 9/30 https://blog.npmjs.o[...] 2018-08-14
_[18] 서적 2012 International Conference for Internet Technology and Secured Transactions IEEE 2016-07-22
_[19] 웹사이트 npm {{!}} Home https://www.npmjs.co[...] 2024-06-27
_[20] 웹사이트 npm Code of Conduct: acceptable package content https://docs.npmjs.c[...] 2017-05-09
_[21] 웹사이트 npm-stat: download statistics for NPM packages https://web.archive.[...] 2016-08-09
_[22] 웹사이트 registry {{!}} npm Docs https://docs.npmjs.c[...] 2021-05-10
_[23] 뉴스 How one developer just broke Node, Babel and thousands of projects in 11 lines of JavaScript https://www.theregis[...] The Register 2016-04-17
_[24] 웹사이트 How one programmer broke the internet by deleting a tiny piece of code https://qz.com/64646[...] 2020-12-23
_[25] 웹사이트 Protestware on the rise: Why developers are sabotaging their own code https://techcrunch.c[...] 2024-05-11
_[26] 웹사이트 How 17 Lines of Code Took Down Silicon Valley's Hottest Startups https://www.huffpost[...] 2024-05-11
_[27] 웹사이트 kik, left-pad, and npm http://blog.npmjs.or[...] 2017-05-09
_[28] 웹사이트 changes to unpublish policy http://blog.npmjs.or[...] npm Blog (Archive) 2022-01-23
_[29] 웹사이트 BIG sabotage: Famous npm package deletes files to protest Ukraine war https://www.bleeping[...] 2022-03-17
_[30] 웹사이트 'Protestware' npm package dependency labelled supply-chain attack https://www.itnews.c[...] nextmedia 2022-03-17
_[31] 웹사이트 JavaScript library updated to wipe files from Russian computers https://www.theregis[...] Situation Publishing 2022-03-18
_[32] 웹사이트 Widely used open source software contained bitcoin-stealing backdoor https://arstechnica.[...] 2024-05-11
_[33] 웹사이트 Check your repos... Crypto-coin-stealing code sneaks into fairly popular NPM lib (2m downloads per week) https://www.theregis[...] 2024-05-11
_[34] 웹사이트 NPM package with 3 million weekly downloads had a severe vulnerability https://arstechnica.[...] 2024-05-11
_[35] 웹사이트 JavaScript library downloaded 3m times a week exposes apps to hijacking via evil proxy configs https://www.theregis[...] 2024-05-11
_[36] 웹사이트 Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps https://www.bleeping[...] 2022-01-09
_[37] 웹사이트 Hijacked S3 buckets used in attacks on npm packages https://www.theregis[...] 2024-05-11
_[38] 웹사이트 Hello, Yarn! https://blog.npmjs.o[...] 2016-12-17
_[39] 웹사이트 Managing Dependencies https://docs.deno.co[...] 2024-01-06
_[40] 웹사이트 Node and npm modules {{!}} Deno Docs https://docs.deno.co[...] 2024-01-16
_[41] 웹사이트 Why I'm working on Yarn http://yehudakatz.co[...] 2016-12-17
_[42] 웹사이트 cli/CHANGELOG.md at latest https://github.com/n[...] GitHub 2023-06-05
_[43] 웹인용 Earliest releases of npm https://github.com/n[...] 2016-07-27
_[44] 웹인용 Forget CommonJS. It's dead. **We are server side JavaScript.** https://github.com/j[...] 2013-03-25
_[45] 웹인용 Hello, Yarn! http://blog.npmjs.or[...] 2016-12-17
_[46] 웹인용 Why I'm working on Yarn http://yehudakatz.co[...] 2016-12-17